Aktuell in der CR

Der Entwurf des Cyber Resilience Act (Zirnstein, CR 2022, 707)

Der am 15.9.2022 veröffentliche Entwurf der Europäischen Kommission zum „Cyber Resilience Act“ soll erstmalig horizontal geltende Cybersicherheitsvoraussetzungen schaffen. Zur Erreichung eines im Vergleich zum gegenwärtig regulatorisch deutlich höheren Maßes an Cybersicherheit sollen weitreichende Regelungen zum Anwendungsbereich und zu den Pflichten der Marktteilnehmer beitragen. Bei Nichteinhaltung dieser Vorgaben drohen ähnlich hohe Bußgelder wie unter der DSGVO. Im Ergebnis bietet der Gesetzesentwurf eine solide Grundlage zur Erreichung dieser Ziele, dennoch sind an einigen Stellen Nachbesserungen im weiteren Gesetzgebungsverfahren erforderlich.

Überblick und Analyse relevanter Regelungsinhalte

INHALTSVERZEICHNIS:

I. Einleitung

II. Verhältnis zu anderen Rechtsakten

1. Verhältnis zu Richtlinien zur Netz- und Informationssicherheit (NIS-2-RL)

2. Verhältnis zur DSGVO

3. Verhältnis zum KI-VO-E

III. Wesentliche Regelungsinhalte des CRA-E

1. Anwendungsbereich

a) Sachlicher Anwendungsbereich

b) Ausschluss bestimmter Produkte und Dienstleistungen vom Anwendungsbereich

c) Keine Regelung zum territorialen Anwendungsbereich

2. Normadressaten und deren Pflichten

a) Hersteller

aa) Einhaltung wesentlicher Cybersicherheitsanforderungen (Art. 10 Abs. 1 CRA-E)

bb) Schwachstellenmanagement (Art. 10 Abs. 6 CRA-E)

cc) Dokumentationspflichten (Art. 10 Abs. 7, 10 CRA-E, Art. 23 CRA-E)

dd) Fortlaufende Überprüfungs- und Anpassungspflicht

ee) Melde- und Benachrichtigungspflichten (Art. 11 CRA-E)

b) Importeur

aa) Überprüfung der Einhaltung wesentlicher Cybersicherheitsanforderungen (Art. 11 Abs. 1, 3 CRA-E)

bb) Informationspflichten (Art. 11 Abs. 6 CRA-E)

c) Händler

d) Sonstige Personen

e) Übergangszeitraum

3. Konformität – Grundsätze und Verfahren

a) Gesetzliche Vermutung der Konformität (Art. 18 CRA-E)

b) Konformitätsbeurteilung und Konformitätserklärung (Art. 20, 24 CRA-E)

c) CE-Kennzeichnung

4. Überwachungs- und Eingriffsbefugnisse öffentlicher Stellen

a) Aufgabe und Stellung

b) Befugnisse bei signifikantem Cybersicherheitsrisiko und Nichteinhaltung gesetzlicher Vorgaben

c) Befugnisse bei signifikantem Cybersicherheitsrisiko bei Einhaltung gesetzlicher Vorgaben

d) Sweeps

5. Bußgelder

IV. Zusammenfassung und nächste Schritte

Leseprobe:

"I. Einleitung

Das Thema Cybersicherheit ist jüngst zu einem der wichtigsten und am meisten regelungsbedürftigen Komplexe aufgestiegen, nicht zuletzt wegen immer häufiger vorkommenden Cyberattacken auf private oder staatliche Einrichtungen. Auf europäischer¹und nationaler Ebene²sind die politischen Bemühungen groß und folgen den immer lauter werdenden Rufen nach Gesetzen, die Cybersicherheit effektiv gewährleisten können.

Trotz dieses evidenten Bedürfnisses gleicht der europäische Rechtsrahmen in dieser Hinsicht bis dato anstatt einer einheitlichen Lösung einem Flickenteppich. Zahlreiche europäische Gesetze, wie beispielsweise die NIS-1-RL, enthalten zwar bereits Regelungsansätze, diese bieten aber nur für ihren spezifischen Anwendungsbereich Lösungen.

Am 15.9.2022 veröffentlichte die Europäische Kommission nun den Entwurf des Cyber Resilience Act (CRA-E). Dieser Beitrag setzt sich mit den wesentlichen Inhalten des CRA-E auseinander und stellt zunächst das Verhältnis zu anderen relevanten Rechtsakten dar (II.). Sodann folgt eine Übersicht ausgewählter Regelungsinhalte (III.). Das Ende des Beitrags bildet eine Einschätzung zum CRA-E (IV.).

II. Verhältnis zu anderen Rechtsakten

Wenngleich zahlreiche europäische Gesetze Berührungspunkte zur Cybersicherheit enthalten, existiert noch kein Regelwerk mit einheitlichen Grundvoraussetzungen.³Wegen der teilweisen Überschneidung der Regelungsinhalte stellt sich die Frage zum Verhältnis des CRA-E zu diesen Rechtsakten.

1. Verhältnis zu Richtlinien zur Netz- und Informationssicherheit (NIS-2-RL)

Das erste europäische Cybersicherheitsgesetz, die NIS-1-RL⁴, trat bereits im August 2016 in Kraft und enthält Vorgaben zu einem allgemeinen Sicherheitsniveau für Netz- und Informationssysteme. Demnächst wird die NIS-1-RL vom NIS-2-RL-E⁵abgelöst. Sowohl der NIS-2-RL-E als auch der CRA-E regeln Cybersicherheitsanforderungen und überschneiden sich in ihren Anwendungsbereichen in beträchtlichem Umfang.

Der Anwendungsbereich des CRA-E bezieht sich auf Produkte mit digitalen Elementen.⁶Der NIS-2-RL-E hingegen regelt die Erbringung von Diensten durch „wesentliche“ und „wichtige“ Einrichtungen und enthält dementsprechend Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art. 1 Abs. 2 lit. b) NIS-2-RL-E). Im Rahmen der Umsetzung der NIS-2-RL soll sichergestellt werden, dass diese wesentlichen und wichtigen Einrichtungen im Hinblick auf die von ihnen erbrachten Dienste angemessene technische, operative und organisatorische Cybersicherheitsmaßnahmen zu ergreifen verpflichtet sind. Auch der persönliche Anwendungsbereich unterscheidet sich: Der NIS-2-RL-E adressiert wesentliche und wichtige Einrichtungen, der CRA-E hingegen Hersteller, Importeure und Händler. Letztere können wesentliche oder wichtige Einrichtungen darstellen, müssen dies aber nicht zwangsläufig sein.

Die Differenzierung beider Gesetze lässt sich beispielhaft wie folgt veranschaulichen: …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht

Verlag Dr. Otto Schmidt vom 10.11.2022 11:32

zurück zur vorherigen Seite